email Webmasster contact's email   phone to ETDA  0-2123-1234
TH | EN


เผยแพร่ 14.06.2017 (4 เดือนที่ผ่านมา) | แก้ไขล่าสุด 20.10.2017 | อ่าน 1652

ETDA จับมือ TISA เผยความสำเร็จโครงการพัฒนาบุคลากรด้าน Cybersecurity


พร้อมวางแผนเพิ่มศักยภาพบุคลากรหน่วยงานภาครัฐ เตรียมรับมือภัยคุกคามยุค Thailand 4.0

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ร่วมมือกับ สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ หรือ TISA (ทีซ่า) เผยความสำเร็จโครงการพัฒนาบุคลากรด้าน Cybersecurity ของประเทศไทย จากการจัดสอบติดต่อกันเป็นปีที่ 5 เมื่อวันที่ 14 มิถุนายน 2560

 

สุรางคณา วายุภาพ ผู้อำนวยการ ETDA กล่าวว่า ในยุคเศรษฐกิจดิจิทัลและ Thailand 4.0 เทคโนโลยีได้เข้ามาเปลี่ยนโฉมการดำเนินชีวิต ธุรกรรมต่าง ๆ มีการย้ายฐานมาสู่การทำธุรกรรมทางอิเล็กทรอนิกส์สูงขึ้นทุกปี ดังนั้น เรื่องความมั่นคงปลอดภัยในการใช้งานจึงเป็นเรื่องสำคัญ และมีความจำเป็นเร่งด่วนที่ผู้เกี่ยวข้องทุกภาคส่วนต้องพัฒนาบุคลากรผู้เชี่ยวชาญในด้านนี้ ควบคู่กับการพัฒนาโครงสร้างพื้นฐานระบบสารสนเทศที่มีความมั่นคงปลอดภัย เพื่อให้การทำธุรกรรมและการใช้งานเกิดความมั่นคงปลอดภัยสูงสุด

“การย้ายฐานการทำธุรกรรมมาสู่โลกออนไลน์ที่สูงขึ้น ทำให้ภัยคุกคามไซเบอร์สูงขึ้นทั่วโลก และมีความน่ากลัวมากขึ้น เช่น การเจาะระบบขโมยข้อมูล หรือการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ ที่ทำให้เกิดความเสียหายทางเศรษฐกิจ ETDA ในฐานะหน่วยงานที่สนับสนุนโครงสร้างพื้นฐานด้าน Soft Infrastructure  ไม่ว่าจะเป็นกฎหมาย มาตรฐาน และความมั่นคงปลอดภัยไซเบอร์ เพื่อการพัฒนาเศรษฐกิจดิจิทัลของประเทศ เล็งเห็นถึงความจำเป็นเร่งด่วนในการสร้างบุคลากรที่มีความชำนาญด้านความมั่นคงปลอดภัยไซเบอร์ เพื่อสร้างความเชื่อมั่นให้แก่ผู้ใช้งานและสังคมออนไลน์ จากสถิติผู้ที่สอบผ่านใบรับรอง CISSP ซึ่งเป็นมาตรฐานความมั่นคงปลอดภัยระดับสากล ในประเทศไทยมีผู้ได้รับ 198 คน ซึ่งน้อยมาก เมื่อเทียบกับประเทศเกาหลีใต้ ที่มีผู้ผ่านใบรับรอง 2,766 คน และสิงคโปร์ที่มีผู้ได้รับ 1,579 คน สุรางคณา กล่าวเพิ่มเติม

บทบาทสมาคม เพื่อพัฒนาผู้เชี่ยวชาญ Cybersecurity

พ.ต.อ. ญาณพล ยั่งยืน นายกสมาคม TISA กล่าวว่า ทาง TISA ในฐานะสมาคมที่เป็นแหล่งรวมของผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ไทย ได้จัดอบรมถ่ายทอดความรู้ด้านความมั่นคงปลอดภัยไซเบอร์ให้แก่บุคลากรจากหน่วยงานและองค์กรต่าง ๆ ทั้งภาครัฐและเอกชนมาอย่างต่อเนื่อง โดยมุ่งหวังยกระดับผู้เชี่ยวชาญของประเทศไทย รวมถึงมาตรฐานที่จัดสอบโดยหน่วยงานภาครัฐที่ทาง TISA และ ETDA ร่วมมือกัน เช่น โครงการฝึกอบรมและสอบวัดสมรรถนะเพื่อพัฒนามาตรฐานการรับรองบุคลากรด้านความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย หรือ iSEC (Information Security Expert Certification) ซึ่งเป็นโครงการฝึกอบรมที่เข้มข้น และเพื่อเป็นการเตรียมตัวผู้เรียนลงสนามสอบระดับสากล เช่น Certified Information Systems Security Professional หรือ CISSP ซึ่งเป็นมาตรฐานใบรับรองด้านความความปลอดภัยสารสนเทศระดับสากล โดยทาง TISA ก็มุ่งหวังยกระดับมาตรฐานการฝึกอบรมและสอบวัดสมรรถนะของเราให้เป็น Thai CISSP

“ในการสร้างความมั่นคงปลอดภัยไซเบอร์ จำเป็นต้องลงมือปฏิบัติตั้งแต่ต้นทางจนถึงปลายทาง การวางมาตรการด้านความมั่นคงปลอดภัยในขบวนการทุกขั้นตอนจนครบถ้วน ไม่ใช่แค่เพียงระบบโครงสร้างพื้นฐานไอที แต่ยังรวมถึงการดำเนินงานของเจ้าหน้าที่ด้านอื่น ๆ ในขบวนการทางธุรกิจนั้น ๆ หรือองค์กรนั้น ๆ ตั้งแต่เริ่มต้นจนสิ้นสุดขบวนการ เพราะการดูแลเรื่องความมั่นคงปลอดภัยของระบบไม่ใช่หน้าที่ของเจ้าหน้าที่ระบบสารสนเทศแค่เพียงฝ่ายเดียว แต่ต้องเป็นความร่วมแรงร่วมใจจากทุกคนในหน่วยงานหรือองค์กรนั้น ๆ” พ.ต.อ. ญาณพล กล่าว

กลยุทธ์ในการพัฒนาบุคลากรด้านการรักษาความมั่นคงปลอดภัย

สุรางคณา ได้กล่าวต่อว่า ETDA ได้ร่วมมือกับ TISA จัดหลักสูตร iSEC อย่างต่อเนื่อง ซึ่งที่จัดขึ้นในปีที่ผ่านมาต่อเนื่องถึงต้นปีของปีนี้ นับเป็นรุ่นที่ 5 และยังเป็นครั้งแรกที่ได้เปิดหลักสูตรผ่านระบบ e-Learning ให้แก่ผู้ที่สนใจ อีกทั้งครั้งที่ผ่านมายังเป็นปีแรกที่จัดให้มีการทดสอบครอบคลุม 4 ภูมิภาค ประกอบด้วย จังหวัดชลบุรี เชียงใหม่ ภูเก็ต และขอนแก่น

ใน 5 รุ่นที่ผ่านมา มีผู้ฝึกอบรมและเข้าร่วมสอบ 492 คน และมีผู้สอบผ่าน iSEC 105 คน หรือคิดเป็น 21.34% และมีผู้สอบผ่านหลักสูตร CISSP 21 คน นับแต่รุ่นที่ 1-4 จากคนสอบรวมทั้งหมด 72 คน หรือคิดเป็นอัตราส่วนสอบผ่าน 29% ซึ่งจัดได้ว่าค่าเฉลี่ยการสอบผ่าน CISSP ของไทยสูงกว่าค่าเฉลี่ย 20% ที่เป็นค่าเฉลี่ยของผู้สอบทั่วโลก  

ทั้งนี้ สำหรับผู้ที่สอบผ่านในรอบของกรุงเทพฯ ได้รับคัดเลือกให้เข้าอบรมในหลักสูตรขั้นสูงอื่น ๆ ต่อไป เช่น หลักสูตร TRANSITS หลักสูตร CYDER ซึ่งเป็นหลักสูตรฝึกซ้อมรับมือภัยคุกคาม เป็นต้น  

สำหรับผลการประเมินรุ่นที่ 5 ซึ่งเป็นครั้งล่าสุด ในการจัดสอบในกรุงเทพฯ และอีก 4 จังหวัดในภูมิภาคประกอบด้วย ชลบุรี เชียงใหม่ ภูเก็ต และขอนแก่น ผลปรากฏว่า มีผู้สอบผ่าน iSEC รวม 33 คน จากจำนวนผู้เข้าสอบทั้งหมด 231 คน หรือคิดเป็นผู้สอบผ่าน 14.29%

อย่างไรก็ดี ในภาพรวมผู้เข้าสอบทั้งด้านบริหาร ทำคะแนนค่าเฉลี่ยได้สูงสุด ในโดเมน 03 เรื่องการสร้างความต่อเนื่องในการดำเนินงาน (Enterprise Continuity) รองลงมาคือ โดเมน 08 เรื่องความมั่นคงปลอดภัยด้านบุคลากร (Personnel Security)

สำหรับบุคลากรด้านบริหาร จำเป็นต้องเร่งพัฒนาความรู้ความสามารถอย่างเร่งด่วน ประกอบด้วย 2 โดเมนหลัก คือ โดเมน 07 ความมั่นคงปลอดภัยด้านเครือข่ายและโทรคมนาคม (Network and Telecommunications Security) และโดเมน 06 การดำเนินงานและการบำรุงรักษาระบบเทคโนโลยีสารสนเทศ (IT Systems Operations and Maintenance)

ส่วนบุคลากรด้านเทคนิค จำเป็นต้องเร่งพัฒนาความรู้ความสามารถ มี 2 โดเมนหลัก โดเมน 12 เรื่อง การบริหารความเสี่ยงด้านความมั่นคงปลอดภัย (Security Risk Management) และโดเมน 10 การจัดซื้อจัดจ้างและบริหารงานสัญญา (Procurement)

ความเร่งด่วนในการพัฒนาบุคลากร

นอกจากโครงการ iSEC แล้ว ETDA มีแผนในการพัฒนาบุคลากรใน 2 มิติหลัก มิติแรก คือ การพัฒนาบุคลากร 50 คน จากหน่วยงานภาครัฐที่สำคัญต่าง ๆ เช่น หน่วยงานระดับกระทรวง ผ่าน 5 หลักสูตร เพื่อยกระดับศักยภาพและสร้างเครือข่ายทำงานร่วมกัน และอีกมิติ คือ การร่างแผนพัฒนาบุคลากรความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ โดยจะมีการสำรวจความต้องการตลาดแรงงาน ทักษะที่หน่วยงานเอกชนต้องการ และหาแนวทางพัฒนาคนในระยะสั้น กลาง ยาวให้สอดคล้องกับความต้องการของประเทศ

 

Thailand Security Week 2017

สุรางคณา ยังฝากถึงการสร้างความรู้ความเข้าใจเรื่องความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นเรื่องจำเป็นเร่งด่วน โดย ETDA กำลังจะจัดงานสัมมนา “Thailand Cybersecurity Week 2017” ภายใต้ธีมงาน "Cybersecurity for All: ความมั่นคงปลอดภัยไซเบอร์เพื่อทุกคน" ในวันที่  26-30 มิถุนายน 2560 ณ ห้อง Universe 1-2 อาคารเดอะ ไนน์ ทาวเวอร์ แกรนด์ ชั้น 12 ถนนพระราม 9 ใกล้แยก อสมท. ด้วยเนื้อหาหลากหลาย ทั้งสำหรับผู้ใช้ทั่วไป เจ้าหน้าที่เทคนิค ตลอดจนผู้จัดการ และผู้บริหาร โดยได้วิทยากรผู้เชี่ยวชาญทั้งจากต่างประเทศและในประเทศ มาแชร์ความรู้และประสบการณ์ จึงขอเชิญทุกท่านเข้าร่วมงาน โดยติดตามรายละเอียดได้ที่ www.etda.or.th และเฟซบุ๊ก ETDA Thailand

 

ข้อมูลเพิ่มเติม 14 โดเมน

โดเมน 01 ความมั่นคงปลอดภัยของข้อมูล (Data Security) การประยุกต์ใช้หลักการ นโยบาย และขั้นตอนการทำงานที่สำคัญ เพื่อรักษาไว้ซึ่งความลับ ความถูกต้องครบถ้วน ความพร้อมใช้ และความเป็นส่วนตัวของข้อมูล ตามแนวทางจัดการข้อมูลทั้งในรูปแบบสื่ออิเล็กทรอนิกส์และเอกสาร

โดเมน 02 นิติวิทยาทางดิจิทัล (Digital Forensics) องค์ความรู้ด้านเทคนิคการสืบสวนและวิเคราะห์หลักฐานทางดิจิทัล ซึ่งใช้ในการรวบรวม ยืนยัน และวิเคราะห์ข้อมูลอิเล็กทรอนิกส์ เพื่อสืบย้อนถึงเหตุอุบัติการณ์ด้านความมั่นคงปลอดภัยระบบสารสนเทศ โดยมีกระบวนการในเชิงสืบสวน รวม 4 ขั้นตอน ได้แก่ การเตรียมการ การรวบรวมหลักฐาน การวิเคราะห์หลักฐาน และการรายงานผล

โดเมน 03 การสร้างความต่อเนื่องในการดำเนินงาน (Enterprise Continuity) การประยุกต์ใช้หลักการ นโยบาย และขั้นตอนการทำงาน เพื่อให้แน่ใจได้ว่าองค์กรจะสามารถดำเนินการในส่วนงานที่สำคัญได้อย่างต่อเนื่องภายหลังจากเกิดเหตุภัยพิบัติ

โดเมน 04 การบริหารอุบัติการณ์/การจัดการสถานการณ์ที่ไม่พึงประสงค์ (Incident Management) องค์ความรู้ด้านกระบวนการในการเตรียมการ การป้องกัน การตรวจจับ การจำกัดความเสียหาย การกำจัด การกู้คืน ตลอดจนการเรียนรู้บทเรียนจากเหตุการณ์ที่มีผลกระทบต่อองค์กร

โดเมน 05 การฝึกอบรมและการสร้างความตระหนักด้านเทคโนโลยีสารสนเทศ (IT Security Training and Awareness) หลักการ แนวปฏิบัติ และวิธีการในการสร้างความตระหนักด้านความมั่นคงปลอดภัยระบบสารสนเทศสำหรับพนักงาน รวมทั้งการจัดฝึกอบรมให้กับบุคลากรตามบทบาทหน้าที่งานที่เกี่ยวข้องด้านความมั่นคงปลอดภัยระบบสารสนเทศ เพื่อเสริมสร้างความรู้ ทักษะ และขีดความสามารถที่เหมาะสมในการปฏิบัติหน้าที่งาน

โดเมน 06 การดำเนินงานและการบำรุงรักษาระบบเทคโนโลยีสารสนเทศ (IT Systems Operations and Maintenance) การประยุกต์ใช้หลักการ นโยบาย และขั้นตอนการทำงานได้อย่างต่อเนื่อง เพื่อบำรุงรักษา เฝ้าระวัง ควบคุม และป้องกันโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศและสารสนเทศที่ใช้ในองค์กร สำหรับบุคลากรในการปฏิบัติหน้าที่งาน โดยเกี่ยวข้องกับการเก็บรวบรวมข้อมูล วิเคราะห์ และรายงาน รวมทั้งการปฎิบัติงานในการจัดการความมั่นคงปลอดภัยระบบสารสนเทศ เพื่อให้สอดคล้องกับนโยบายขององค์กร

โดเมน 07 ความมั่นคงปลอดภัยด้านเครือข่ายและโทรคมนาคม (Network and Telecommunications Security) การประยุกต์ใช้หลักการ นโยบาย และขั้นตอนการทำงาน เพื่อรักษาความมั่นคงปลอดภัยของระบบเครือข่าย และบริการโทรคมนาคม รวมทั้งการบำรุงรักษาอุปกรณ์ฮาร์ดแวร์ที่เกี่ยวข้อง

โดเมน 08 ความมั่นคงปลอดภัยด้านบุคลากร (Personnel Security) วิธีการและมาตรการควบคุมที่ใช้ในการสรรหาและคัดเลือกสำหรับทรัพยากรบุคคลขององค์กร ทั้งพนักงานและผู้ให้บริการภายนอก ทั้งนี้ เพื่อส่งเสริมด้านความมั่นคงปลอดภัย โดยครอบคลุมถึงมาตรการควบคุมสำหรับบุคลากร เพื่อใช้ในการป้องกันและตรวจสอบการทำงานของพนักงานที่อาจจะเกิดการละเมิดความมั่นคงปลอดภัยขององค์กร อาทิ การขโมย โจรกรรม การทุจริต การใช้ข้อมูลในทางที่ผิด และ การไม่ปฏิบัติตามข้อกำหนดต่างๆ รวมทั้งมาตรการที่เกี่ยวข้อง ได้แก่ การออกแบบโครงสร้างตามหน้าที่งานหรือในระดับองค์กร เช่น การแบ่งแยกหน้าที่ และหมุนเวียนหน้าที่งาน และ การจัดชั้นสารสนเทศ เป็นต้น

โดเมน 09 ความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (Physical and Environmental Security) วิธีการและมาตรการควบคุมที่ใช้ในการป้องกันทางกายภาพ จากภัยคุกคามทางธรรมชาติหรือจากฝีมือของมนุษย์ สำหรับระบบสาธารณูปโภคพื้นฐานและอาคารขององค์กร รวมถึงสถานที่ติดตั้งอุปกรณ์ระบบเทคโนโลยีสารสนเทศ

โดเมน 10 การจัดซื้อจัดจ้างและบริหารงานสัญญา (Procurement) การประยุกต์ใช้หลักการ นโยบาย และขั้นตอนการทำงานที่สำคัญ สำหรับการวางแผน การดำเนินการ และประเมินการจัดซื้อผลิตภัณฑ์และบริการทางด้านระบบสารสนเทศ

โดเมน 11 การปฏิบัติตามกฎระเบียบและมาตรฐาน (Regulatory and Standards Compliance) การประยุกต์ใช้หลักการ นโยบาย และขั้นตอนการทำงาน ที่ช่วยให้องค์กรตอบสนองในการปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ มาตรฐาน และนโยบายต่าง ๆ บรรลุตามเป้าหมายและข้อกำหนดด้านความมั่นคงปลอดภัยระบบสารสนเทศ

โดเมน 12 การบริหารความเสี่ยงด้านความมั่นคงปลอดภัย (Security Risk Management) การจัดให้มีนโยบาย กระบวนการ ขั้นตอนการทำงาน และเทคโนโลยีที่ใช้ในการระบุปัจจัยเสี่ยงและประเมินความเสี่ยงขององค์กรที่มีต่อทรัพย์สินสารสนเทศ บุคลากร ระบบสาธารณูปโภค และอุปกรณ์ รวมทั้ง การบริหารจัดการกลยุทธ์เพื่อลดความเสี่ยงให้บรรลุด้านความมั่นคงปลอดภัยระบบสารสนเทศและงบประมาณค่าใช้จ่ายที่เหมาะสม

โดเมน 13 การบริหารความมั่นคงปลอดภัยเชิงกลยุทธ์ (Strategic Security Management) หลักการ แนวปฏิบัติ และวิธีการ ที่เกี่ยวข้องในการตัดสินใจเชิงบริหารที่มีผลต่อผลดำเนินงานขององค์กรในระยะยาว

โดเมน 14 ความมั่นคงปลอดภัยของระบบและโปรแกรมประยุกต์ (System and Application Security) หลักการ นโยบาย และขั้นตอนการทำงาน ที่เกี่ยวข้องในการบูรณาการด้านความมั่นคงปลอดภัยระบบสารสนเทศในขั้นตอนการพัฒนาระบบเทคโนโลยีสารสนเทศหรือระบบงาน ก่อนที่จะนำไปใช้งานและการบำรุงรักษาระบบ เพื่อให้แน่ใจได้ว่ามีการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสำหรับซอฟต์แวร์อย่างเหมาะสม